Троянец для Windows с широким функционалом

По сообщению компании «Доктор Web», обнаруженный недавно троянец Trojan.PWS.Papras.4 относится к сложным многокомпонентным угрозам и обладает обширным вредоносным функционалом. Например, он способен красть пароли от популярных прикладных программ, передавать злоумышленникам содержимое заполняемых жертвой форм и открывать им возможность удаленного управления инфицированным компьютером.

Trojan.PWS.Papras.4 представляет собой приложение, которое можно отнести к категории RAT (Remote Administration Tool – средство удаленного администрирования). Оно позволяет получить доступ к инфицированному компьютеру без ведома пользователя. Троянец состоит из нескольких компонентов, одним из которых является дроппер, после своего запуска распаковывающий в одну из системных папок другой модуль — инжектор, и в зависимости от привилегий текущей учетной записи пользователя Windows модифицирующий соответствующую ветвь системного реестра для добавления его в автозагрузку. После запуска инжектор извлекает и распаковывает основные модули троянской программы, а затем встраивает их во все запущенные процессы за исключением нескольких системных. При этом Trojan.PWS.Papras.4 имеет возможность инфицировать как 32–, так и 64-разрядные процессы.

Троянец обеспечивает работу на инфицированном компьютере нескольких функциональных модулей: один реализует функции VNC-севера, другой – сервера Socks Proxy. Еще один модуль позволяет встраивать в просматриваемые пользователем Web-страницы постороннее содержимое (Web-инжекты). Дополнительный модуль (Grabber) предназначен для передачи злоумышленникам содержимого заполняемых пользователем форм в браузерах Microsoft Internet Explorer, Mozilla Firefox и Google Chrome, а модуль Stealer — похищать пароли от нескольких десятков приложений, среди которых – почтовые клиенты, FTP-клиенты и ряд других. Наконец, модуль backconnect позволяет управлять инфицированной машиной, даже если она скрыта за шлюзом или брандмауэром.

Trojan.PWS.Papras.4 способен выполнять следующие команды, получаемые с удаленного сервера: загрузить, сохранить, запустить приложение; установить обновление вредоносной программы; передать на сервер файлы cookies браузеров Internet Explorer, Firefox и Chrome; экспортировать установленные на ПК цифровые сертификаты и отправить их на удаленный сервер; передать на сервер список запущенных процессов; удалить на инфицированном ПК файлы cookies; включить запись в файл журнала; включить прокси-сервер; включить VNC-сервер; установить обновление вредоносной программы с цифровой подписью; записать значение в реестр или получить из реестра; выполнить поиск файлов на инфицированном компьютере.

Вредоносная программа представляет серьезную опасность в силу наличия обширного функционала для хищения конфиденциальной информации, которая может быть использована, в частности, для несанкционированного доступа на зараженный компьютер, взлома интернет-ресурсов и учетных записей жертвы на различных сайтах.